虛擬化域控制器系列(5)–把域控制器及Active Directory擴展到Azure上

虛擬化域控制器系列(5)–把域控制器及Active Directory擴展到Azure上

另一篇文章所設置好的Azure Site To Site VPN架構之上, 假設本地環境已經跟Azure連接好

我們可以把雲端的一台VM加入到網域進而提升做域控制器, 首先我們就要建立一台新的VM

創建時不要選Quick Create, 要選From Gallery

image

填寫這台VM的名稱, 微軟也建議VM的大小要到中型以上, 不過其實也可以慢慢提升上去

image

下一頁比較要注意的就是選擇正確的Region/Affinity Group及Virtual Network了

不選擇Quick Create是因為Quick Create是沒有這些選擇的

image

VM的Endpoint就用預設的好了

image

等候VM建立完成並登入, 檢查VM是不是擁有預定的IP地址, 試試Ping一下對方的IP地址

image

如果Ping出現Request Timout的話, 檢查防火牆有沒有開啟ICMPv4及v6兩條Echo規則

image

設定好後應該就可以兩方互相Ping到對方了, 這也可以檢查Site To Site VPN有沒有真的運行中, 以及跟Azure的延遲時間

image

而Azure的Network頁面也應該會見到這台VM正使用這個Virtual Network

image

現在我們要填寫這個Virtual Network分發的DNS服務, 這樣新建的Azure VM才能發現原有的域控制器AD網絡

image

設定好後在Azure的VM上Ping一下本地DC的電腦名稱確認

image

再來步驟在本地其中一台DC上進行, 開啟Active Directory Site and Service,

我們要為Azure的環境準備一個Remote AD Site

image

及它一個名稱, 以及選擇用以進行覆寫的Site Link

image

再來建立新的AD Subnet

image

這時不確定資料的話可以回去Azure 的Network頁面查看以往的網絡設定

image

把Azure的網絡和本地的網絡區間分配到合適的Site上

imageimage

完全後大約就是這個樣子了

image

及後再回到Azure的那台VM上安裝Active Directory Domain Services, 就跟以往的做法差不多

image

等候它完成安裝

image

再來按連結把它提升為域控制器

image

首先選擇把這台電腦加入到現由的網域裡, 而目標網域填寫已建立的testlab.com

帳號填入testlab.com的forest admin

image

下一步選擇安裝DNS服務及指派Global Catalog角色及這台服務器,

這樣Azure端的後加VM也可以向這台VM進行登入了

image

DNS Delegation預設按Next

image

再來選擇向誰進行第一次的AD同步複寫, 我是選擇了PDC

image

以下AD資料庫部份建議選擇預設

image

查看有沒有明顯的錯誤, 下圖的警告都是不能避免的

image

這台VM會自動重新啟動

image

重新啟動期間, 在本地的DC上應該已經能看到有一台新的域控制器了

image

也已經放到適合的AD Site上

image

等後VM重啟完畢. 就試試以Domain Admin帳號登入吧

image

Server Manager會顯示這台電腦已經加入網域了, 我們也要打一下 repadmin /showrepl

看看AD間的複寫有沒有正常運作, 現在我們基本上完成設定了

但微軟也建議我們為這台DC的AD進行備份, 以下部份就是Optional了

image

首先回到Azure, 在這台VM上選擇多加一台磁碟機

image

由於我只會備份System State, 所以我的磁碟機設得很細小 (磁碟機空間是要計費的噢)

image

這台VM會重新啟動, 完成後把磁碟機進行一下初始化動作

image

安裝Windows Server Backup

image

再來設定備份時間

image

選擇用一台本地磁碟機作備份

image

這樣就應該可以見到專門用以備份的磁碟機了,

這樣Azure上第一台域控制器就已經擁有保障我們寶貴AD資料的能力了!!

image